ChatGPT è paradossalmente vittima del proprio dilagante successo. Ora l’amministrazione Biden si dichiara intenzionata a disciplinare l’intelligenza artificiale generativa, in considerazione del rischio di discriminazione e disinformazione; la Cina ha già introdotto blocchi per le stesse ragioni, e così la Russia.
ChatGPT, non solo il Garante italiano: vigili anche le Autorità di controllo Ue (e non solo)
Lo scenario europeo e il caso italiano
Nell’Unione europea si discute non di proibizioni ma di un irrobustimento normativo, valutando se il regolamento sull’intelligenza artificiale, tuttora in cantiere, debba includere nell’allegato III i sistemi generativi i cui risultati siano confondibili con prodotti umani, riconoscendone così l’alto rischio, e se i produttori di sistemi di intelligenza artificiale debbano dichiarare di utilizzare materiale protetto da diritto d’autore.
E poi l’Italia. All’improvviso il Paese che ha rinunciato all’occasione epocale del Programma 101 Olivetti si trova al primo posto nelle cronache tecnologiche di tutto il mondo. Ne parlano il Guardian, il New York Times, il Washington Post. Oggi non esportiamo tecnologia, ma provvedimenti sulla tecnologia. Tutti hanno raccontato, a modo loro, della limitazione provvisoria di trattamento imposta d’urgenza dal Garante il 30 marzo scorso. Una decisione fulminea, che ha aperto, com’è noto, il confronto con OpenAI (cfr. da ultimo GPDP, provv. n. 114 dell’11 aprile 2023), e innescato a catena la creazione di una task force presso l’EDPB, ossia l’organismo che riunisce le autorità omologhe dell’Unione europea, e altre iniziative di accertamento da parte di autorità di controllo.
L’intervento del Garante, muscolare ma ineccepibile nel merito, ha generato notevole impressione tra i giuristi e appassionate incomprensioni nel vasto pubblico, in seguito al blocco delle utenze italiane disposto da OpenAI, conseguenza forse inattesa, tuttavia coerente: accedere a un account determina trattamento, e il trattamento come sappiamo è stato limitato. La situazione è già del resto in fase di disgelo (cfr. provvedimento dell’11 aprile), a esito del confronto ormai aperto.
Unire i puntini
Il quadro internazionale tratteggiato in apertura appare decisivo per comprendere l’intervento del Garante: non si trattava di un’iniziativa solitaria o donchisciottesca, ma di una scelta che acquista contesto e spessore all’interno di una tendenza internazionale abbastanza chiara, sia pure sviluppata altrove sul piano governativo. Unendo i puntini, come nei giochi di enigmistica, emerge cioè il profilo di un movimento globale, necessariamente disomogeneo, avente però tratti e direzione comuni. Teniamo per un attimo da parte il Garante e consideriamo le reazioni governative. Sembrano accomunate da due elementi: sorpresa e apprensione.
Succede che gli Stati hanno scoperto all’improvviso di: (i) non avere il controllo del fenomeno, pur ampiamente annunciato, dell’intelligenza generativa; (ii) di non disporre degli strumenti/modelli concettuali per afferrarlo completamente e soprattutto per misurarne la portata trasformativa dei rapporti sociali ed economici; (iii) di non avere, perciò, una strategia chiara per codificarlo.
Stiamo costruendo uno standard giuridico?
Come si evince dagli scampoli di comunicazione rivelati dal Garante e dal comunicato del 5 aprile scorso di OpenAI, la società statunitense avverte dal canto suo sia l’esigenza di tranquillizzare e sia quella di limitare i fronti di esposizione, anche legale, il che spiega bene le ragioni della virtuosa interlocuzione avviata. Dopotutto il tavolo permette di conquistare la normalizzazione della chatbot, almeno sul versante GDPR, ponendo uno standard e, con esso, una patente di conformità normativa, ben spendibili in altri contesti. Più che un inciampo è un’occasione.
In altre parole, il punto esatto di caduta di questi inediti conversari tra la Silicon Valley e Roma determinerà prevedibilmente un’onda lunga, la sta già producendo. Fissarne gli elementi essenziali è il vantaggio competitivo di chi si è mosso per primo. Non c’erano probabilmente ragioni d’urgenza, come constatato da molti, c’erano piuttosto ragioni di tempismo e di anticipazione, per cogliere la palma del primo interlocutore. Il quadro internazionale appariva favorevole, era stata appena diffusa la lettera aperta di Musk, Wozniak e centinaia di altri firmatari di lustro per chiedere una moratoria di almeno sei mesi sui sistemi di intelligenza artificiale, un testo oggettivamente incisivo. La prima autorità indipendente a discutere e quindi a definire le basi giuridiche del trattamento e le altre condizioni di liceità fissa tendenzialmente la cornice per tutti. Perfino nel solco dell’iniziativa più ampia annunciata dall’EDPB, il Garante si ritaglia dunque il ruolo morale di lead authority. Alla primazia si accompagna naturalmente una responsabilità enorme, quella di non costruire un quadro troppo lasco o eccessivamente stringente, e in tal caso forse anche potenzialmente inutile se non intervengono convergenze globali a sostenerlo.
I temi sul tavolo
Il provvedimento del 30 marzo scorso individuava un ampio insieme di criticità nel trattamento di dati personali di OpenAI, dunque muoveva da una posizione di forza, a forte leva negoziale, anche perché non vincolata da precise e dettagliate motivazioni, ma appaiono già nelle posizioni successive del Garante i segni di un confronto pragmatico in atto.
Non risulta tuttavia menzionato in nessuno dei provvedimenti disponibili l’obbligo di procedere a DPIA, ossia alla valutazione d’impatto ai sensi dell’art. 35 GDPR, che appare dovuta quantomeno in base alle linee guida WP29/EDPB. L’incombente è (segnatamente nel caso di specie) decisivo per comprendere in maniera profonda le scelte e gli apprezzamenti sviluppati o non sviluppati da OpenAI, e costituisce senz’altro un documento essenziale, se non altro quale riflessione giuridica di spessore sulla natura, sulla liceità e sull’impatto della chatbot, come pure sulle misure decise dalla società statunitense.
Attualmente, i temi aperti sul tavolo di confronto con l’Authority, quantomeno dalle informazioni disponibili, riguardano piuttosto le ricadute applicative, quali l’obbligo di informativa, l’implementazione di uno strumento di verifica dell’età, l’esercizio del diritto di opposizione (in collegamento con la base giuridica) e di rettifica in modo agevole, la precisazione appunto della base giuridica. Su quest’ultimo punto il Garante chiarisce in maniera assolutamente corretta che essa non può essere contrattuale, ma deve consistere o nel consenso, ovviamente espresso pro futuro e sempre revocabile, oppure, come verosimilmente sarà, nell’interesse legittimo. L’interesse legittimo, va notato, richiede l’effettuazione di una LIA, legitimate interest assessment, dunque ancora una volta impone una fase di valutazione assai profonda.
I sistemi generativi sono compatibili con il GDPR?
Proprio il tema della valutazione profonda ci conduce a un piano di riflessione meno contingente del caso ChatGPT, ossia ad affrontare la reale questione a monte: in quale misura si può realmente trovare una composizione tra intelligenza generativa e GDPR, posto che l’allenamento dei sistemi si basa su vastissimi bacini di informazione, su un radicale secondary use dei dati e su operazioni di confronto, combinazione e arricchimento? Occorrono allora nuove regole? Soprattutto: occorrono nuovi approcci concettuali, nel senso che non dovremmo rapportarci alla nuova tecnologia nello stesso modo in cui ragioniamo di fenomeni tradizionali?
In realtà, nessun tema esclude completamente gli altri. La composizione tra GDPR e intelligenza artificiale va ricercata all’interno delle regole del GDPR, utilizzando strumenti interpretativi e logica giuridica. Non è questione di incatenare il progresso al letto di Procuste del diritto, è solo che non appare corretto, come mi sembra molti abbiano troppo frettolosamente proposto, praticare strappi ai principi solo perché siamo catturati dall’indubbio fascino di una rivoluzione informatica. Del resto il GDPR non è che un versante della disciplina giuridica complessiva, neppure un versante teoricamente insuperabile, visto che sistemi di intelligenza artificiale possono essere allenati anche su dati (autenticamente) sintetici, e questi ultimi – semplificando molto le oggettive complessità – essere sprovvisti degli elementi anche indirettamente identificativi propri dei dati personali. Certo poi il tema si sposta sulla produzione dei dati sintetici, ma non parliamone qui.
Un ragionamento sistematico, tale cioè da astrarre dalla contingenza di ChatGPT, dovrebbe abbracciare il più ampio settore dei servizi della società dell’informazione costruiti estraendo valore dall’analisi e dall’incrocio di enormi raccolte di dati in chiave predittiva e di affinamento costante dei risultati, ossia una parte decisiva del mercato attuale. Questo è per esempio il caso da oltre un ventennio dei servizi di Google, che tuttavia sono stati finora sostanzialmente risparmiati, al livello “core”, da indagini di compatibilità con il GDPR. Eppure anche in quel caso le ricadute distorsive, anche già solo nel senso dell’estrazione indiscriminata e della manipolazione dell’informazione, non sono banali, basti pensare, sul profilo appunto della manipolazione, alla creazione artificiale di echo chamber, talora approdate al contenzioso giudiziario come nel caso Gonzalez contro Google, pendente avanti alla Corte suprema degli Stati uniti.
Guardando il tutto dalla giusta distanza, dobbiamo riconoscere che tanto ChatGPT quanto Bard, quanto i servizi “tradizionali” di Google rientrano, pur con le reciproche differenze, in un particolare modello economico acutamente descritto da Shoshana Zuboff nel celebrato saggio sul “capitalismo della sorveglianza”. Che i dati siano o no un by-product (come nel caso appunto di Google), ciò che conta è la loro disponibilità massiva, il loro riutilizzo per estrarre valore e intelligenza, la loro collocazione alla stregua di materia prima a cui attingere in modo vasto e pressoché gratuito a fini predittivi e anticipatori. Sembra allora incongruo, ed è in effetti sembrato a molti, concentrarsi episodicamente su ChatGPT e non fotografare sistematicamente la rivoluzione digitale di cui la premiata chatbot appare oggi una scheggia impazzita.
Conclusioni
Nel momento in cui si scrive, la partita Garante-OpenAI è ancora pienamente aperta ma volge al sereno, né potrebbe essere diversamente: per entrambe le parti qualsiasi esito diverso da una composizione amichevole sarebbe una sconfitta, non è perciò auspicabile. Le responsabilità in gioco (e gli onori connessi) sono enormi, perché, come si è notato, si sta costruendo uno standard, che l’EDPB potrà affinare ma difficilmente sconfessare.
Sarebbe peraltro opportuno astrarre dal caso singolo e affrontare finalmente i profili di compatibilità di un’intera economia con il GDPR, anche già attraverso gli strumenti della valutazione di impatto e della valutazione del legittimo interesse. È un’economia ben più estesa del prodotto principale di OpenAI, è costruita non tanto e non solo sull’utilizzo dei dati personali per il loro contenuto immediato, ma per le informazioni ulteriori, spesso notevolmente più ricche e inattese, che essi permettono di derivare, e determina modifiche comportamentali e sociali, in un ciclo continuo.
Proprio l’impatto sulle persone, dunque la manipolazione o addirittura la vera e propria disinformazione, intercettano anche altri settori del diritto diversi dal GDPR, ad es. i gemelli normativi DSA e DMA o appunto la proposta di regolamento sull’intelligenza artificiale (AI Act), su cui possono essere ancora operate correzioni e riflessioni.
Da ultimo, sia permessa una considerazione. La protezione dei minori nel contesto digitale è un tema centrale, dunque non può che apprezzarsi l’attenzione del Garante ai sistemi di verifica dell’età, esigenza del resto conforme al GDPR, tuttavia non altrettanta attenzione è stata e viene prestata a trattamenti altrettanto incidenti nella sfera dei minori. Penso all’esclusione da attività essenziali di relazione umana che è stata praticata in un recente e assai cupo passato ai danni degli ultradodicenni attraverso il “green pass”, trattamento di dati svincolato da una precisa finalità, arbitrario, sproporzionato, violentemente discriminatorio.
Ma penso anche ai vari paywall che proliferano da mesi: ecco, non mi risulta che in generale questi paywall implementino sistemi di age verification, eppure i minori sono certamente gli interessati più colpiti, già solo considerandone le limitate disponibilità economiche. Non dimentichiamoci che quando si scrive “cookie” dovremmo, con onestà, leggere: profilazione da parte di centinaia di titolari del trattamento, spesso stabiliti in Paesi terzi non adeguati. Non mi pare che l’incidenza sui diritti e le libertà dei minori di questo trattamento profilato e globale sia poi meno lesiva degli esiti talora strambi delle risposte fornite da ChatGPT.
L’auspicio dunque è che si adotti un approccio più sistematico e meno emergenziale ed episodico ai temi portanti della società dell’informazione.
